A Mozilla kiadott egy Firefox 131-es frissítést, amely feloldja a CVE-2024-9680 kódfuttatási biztonsági rést, amelyet a nulladik napként használnak ki.
A CVE-2024-9680 néven azonosított hiba az Animation Timeline komponensen belül hibaként van besorolva. A Mozilla tanácsa szerint „a támadó kódot futtathat a tartalomfolyamatban a biztonsági rést kihasználva”. A Mozilla azt is megerősítette, hogy olyan jelentéseket kapott, amelyek szerint ezt a problémát aktívan kihasználják.
Damien Schaeffer, az ESET, egy szlovák kiberbiztonsági cég biztonsági kutatója működött közre a sérülékenység felfedezésében és bejelentésében.
A biztonsági rést a következő böngészőverziókban javították ki:
- Firefox 131.0.2
- Firefox ESR 128.3.1
- Firefox ESR 115.16.1
A hiba kihasználásának konkrét részletei, illetve a támadók kiléte egyelőre ismeretlen. Az ehhez hasonló távoli kódvégrehajtási sérülékenységek azonban felhasználhatók különféle támadásokhoz, beleértve a célzott webhelyek elleni támadásokat, vagy a felhasználókat rosszindulatú webhelyek meglátogatására csábító „drive by download” kampányokhoz.
A Mozilla azt tanácsolja a felhasználóknak, hogy frissítsék böngészőjüket a legújabb verzióra az aktív fenyegetések elleni védelem érdekében.
A legújabb verzióra való frissítéshez indítsa el a Firefoxot, és lépjen a Beállítások -> Súgó -> A Firefox névjegye menüpontra, és a frissítésnek automatikusan el kell indulnia. A változtatások érvényesítéséhez a program újraindítása szükséges.
